【脆弱性】人材派遣のアスカ　SQLインジェクション攻撃され個人情報流出　アスカ「SQLi対策の確認したことなかった」 [雷★]

このスレへの固定リンク： http://5chb.net/r/newsplus/1594706903/
ヒント：5chスレのurlに http://xxxx.5chb.net/xxxx のようにbを入れるだけでここでスレ保存、閲覧できます。

1雷 ★2020/07/14(火) 15:08:23.07ID:NqK4lbtf9

人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
7/13(月) 6:15

(略)

■アスカはどのように情報流出したのか

　アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。

　「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。

　SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。

　2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。

■SQLインジェクションは古典的な攻撃方法

　インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。

　アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。

　また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。

(略)

https://news.yahoo.co.jp/articles/7a9b6fbd340df0f908d16ab9b6a1990074f2bc00&page=2

2不要不急の名無しさん2020/07/14(火) 15:09:04.57ID:56gwDX7Z0

エスケープ処理くらいしておけ

3不要不急の名無しさん2020/07/14(火) 15:09:06.84ID:4bl+W7or0

あんたバカ

4不要不急の名無しさん2020/07/14(火) 15:09:37.50ID:EGk346+I0

チャゲの仕業

5不要不急の名無しさん2020/07/14(火) 15:10:27.50ID:WITk1vkN0

それ以前になんてわそんなデータベースを外に繋げてたんだ
よそから見る必要なんてないだろ

6不要不急の名無しさん2020/07/14(火) 15:11:38.67ID:sPbGDiob0

>>5
わかってない奴発見

7不要不急の名無しさん2020/07/14(火) 15:11:51.76ID:RmZeY00Y0

>>5
そういうものではないな

8不要不急の名無しさん2020/07/14(火) 15:12:03.31ID:JWRbsMq30

犯人はギフハブ

9不要不急の名無しさん2020/07/14(火) 15:12:14.71ID:rr54jzNr0

自信があるから電話はしません！
つってたアスカとは別なんかえ
社長がCM出てて、寺門ジモンが乗り移った今でしょ！の林先生みたいな顔の

10不要不急の名無しさん2020/07/14(火) 15:13:13.50ID:QYDZr+Ld0

ギフハブの鯖落ちはこのためだったのか！！

11不要不急の名無しさん2020/07/14(火) 15:13:14.78ID:sCNd7aLY0

>>5
そんな意識だからエスケープも知らないんだと思う

しかしま、まさかこのご時世こんなお粗末なシステムがあるとは思わなかった

12不要不急の名無しさん2020/07/14(火) 15:13:55.36ID:2od3LoR10

>>5
えっ？外部接続なしで会員登録サイトを！？

13不要不急の名無しさん2020/07/14(火) 15:14:11.50ID:nIcMxHOf0

注射とかゴトかよwww

14不要不急の名無しさん2020/07/14(火) 15:14:40.07ID:5z43qVPh0

いつの時代だよｗ

15不要不急の名無しさん2020/07/14(火) 15:14:44.99ID:gcXhLPR60

「インターネット上の掲示板には犯行声明とみられる投稿があった。」
　↑
5ちゃんねらーは犯罪者だ
おまえらは、犯罪者予備軍だぞ？

16不要不急の名無しさん2020/07/14(火) 15:15:25.90ID:AoP4m9XQ0

自信があります

17不要不急の名無しさん2020/07/14(火) 15:15:28.64ID:3BtjBHO/0

>>3
>>2だったら評価変わってたと思う　どんまい

18不要不急の名無しさん2020/07/14(火) 15:16:33.88ID:XjHu1TS00

自信があるからお電話は一切いたしません！！

19不要不急の名無しさん2020/07/14(火) 15:16:40.18ID:5z43qVPh0

うんこセキュリティに高い保守料払ってたんだろなー

20不要不急の名無しさん2020/07/14(火) 15:16:53.55ID:YqO7B0eA0

2FAも知らなかった自称IT企業の社長もいたな
セブンペイだっけｗ

どこに飛ばされちゃったのかな

21不要不急の名無しさん2020/07/14(火) 15:17:38.82ID:qxGqLgZS0

昭和かよ

22不要不急の名無しさん2020/07/14(火) 15:18:08.32ID:aUsndzPI0

今時そんなことあるんだ

23不要不急の名無しさん2020/07/14(火) 15:18:55.57ID:pscf7G9j0

>>15
またハセカラ民の悪戯かもねこれ

24不要不急の名無しさん2020/07/14(火) 15:19:53.28ID:UCZuN1ea0

今どき基本的で必須なセキュリティ対策なのですが

25不要不急の名無しさん2020/07/14(火) 15:22:55.96ID:KsKnUOfr0

>>5
登録者のデータ自体が売り物
派遣会社は従業員を奴隷としか思ってない

26不要不急の名無しさん2020/07/14(火) 15:23:24.14ID:XGPNtqAf0

5chでさえSQLインジェクションのチェック用クエリ書き込もうとするとセキュリティで弾かれるというのに…

27不要不急の名無しさん2020/07/14(火) 15:25:45.72ID:O6+dlsso0

>>12
営業「できらぁ！」

28不要不急の名無しさん2020/07/14(火) 15:25:54.19ID:Uhx8YK9g0

>>25
奴隷じゃないよ商材だよ

29不要不急の名無しさん2020/07/14(火) 15:25:57.11ID:QtHNu09o0

派遣の情報なんか知って何のメリットがあるの？

百貨店の外商顧客リスト盗むならわかるけどさ

30不要不急の名無しさん2020/07/14(火) 15:25:57.68ID:aR7fmFvW0

基礎の基礎の基礎なのに

31不要不急の名無しさん2020/07/14(火) 15:28:11.10ID:/CBucWCK0

派遣はくたばれ

32不要不急の名無しさん2020/07/14(火) 15:30:46.66ID:nSM6rxHr0

自分自身に「あんたバカァ？」

33不要不急の名無しさん2020/07/14(火) 15:31:16.58ID:kORQluQg0

SQL文まるごと引数で受け取って実行しちゃうアレだっけ？

34不要不急の名無しさん2020/07/14(火) 15:31:30.02ID:y1C1N9Qt0

2月2日　アスカ五郎を殺したのは貴様か！？

35不要不急の名無しさん2020/07/14(火) 15:32:53.54ID:CSW1h7aq0

と40歳児無職が申しております

36不要不急の名無しさん2020/07/14(火) 15:33:37.25ID:yUliSQ0r0

昔そんなやり取りがあったブログあったよなあ。オンラインバンキングのサイトを作る話で。

「セキュリティは大丈夫ですか」
「SSL 通信なので大丈夫です（キリッ）」
「SQL インジェクションに対抗するためのサニタイジング云々…」
「えすきゅうえる？！　なんだかよく分からんが、通信は暗号化されているのだからそんな対策する必要ない！」

（ここでSQLインジェクションを用いたハッキングを実践）
（ログも確認してもらい、ハッキングの痕跡も残らなかったことを実証する）

「なんだかよく分からんが、とにかくそんなものをする必要はない！」

その後、ブログ主は別のルートで担当を変えるように言ったらしいけど、どこの銀行だったんだろうねー

37不要不急の名無しさん2020/07/14(火) 15:35:45.59ID:rZBHyaS80

同業他社が、奴隷派遣の引き抜き用かな？w
馬鹿な派遣社員がまだまだ沢山居るお陰で竹中は笑いが止まらんだろなw

38不要不急の名無しさん2020/07/14(火) 15:38:59.71ID:tCmmDil+0

>>33
検索ワードをsqlとして受け取るって方がしっくり来るんかな
例えば検索窓に
田中太郎 or A=A
こんなのを入力するとか（or以降により判定が全て真となり全部ぶっこ抜かれる）

39不要不急の名無しさん2020/07/14(火) 15:44:37.07ID:pdueTwNe0

>>5
リモート勤務のせいだろ

40不要不急の名無しさん2020/07/14(火) 15:50:16.34ID:O6+dlsso0

>>28
商品を椅子に押し込むだけで毎時お金が入る仕組みだからな
だからテレワークとかで無駄なコストは絶対に避けたい

41不要不急の名無しさん2020/07/14(火) 15:54:26.57ID:n1Iz8E1m0

今時これが効くとは

42不要不急の名無しさん2020/07/14(火) 15:54:29.02ID:MINphA6o0

ITに疎いにも程がある
ITパスポートレベルでもSQLインジェクションを学ぶだろ

43不要不急の名無しさん2020/07/14(火) 15:55:01.30ID:qOo96m1X0

パラメータ化してる。

44不要不急の名無しさん2020/07/14(火) 15:55:36.57ID:snMs5NuH0

わかりません、しりませんは通じないよ

45不要不急の名無しさん2020/07/14(火) 16:00:33.36ID:qGqywzqI0

まあこいつら自身はシステム屋じゃあねーからなぁ

46不要不急の名無しさん2020/07/14(火) 16:01:20.14ID:PL4h5Uge0

かかり易さとか燃費とかどうでもいいだろ
やっぱり漢ならキャブ車だよな！

47不要不急の名無しさん2020/07/14(火) 16:13:41.58ID:RVnlBN4t0

システムの構築や運用はプロに委託するだろ。

48不要不急の名無しさん2020/07/14(火) 16:16:01.33ID:Vbi7QLXk0

罰則がないからな。
そらセキュリティなんてスルーですわ。

49不要不急の名無しさん2020/07/14(火) 16:16:42.32ID:QuFAB/rT0

栩内とキメセクした奴

50不要不急の名無しさん2020/07/14(火) 16:46:09.74ID:srBt3l4L0

ハハハ

51不要不急の名無しさん2020/07/14(火) 16:50:06.35ID:uiChVFIv0

こんな基本中の基本

さすがIT白亜紀国

52不要不急の名無しさん2020/07/14(火) 16:51:55.54ID:MdxJUVgC0

だから全角だけOKに！！

53不要不急の名無しさん2020/07/14(火) 16:52:36.50ID:JbH+eWD00

インジェクションなんか
記号類の入力テスト一通りやってりゃ普通はわかるもん

54不要不急の名無しさん2020/07/14(火) 16:54:20.63ID:qOT7lCpy0

データベースの講義で最初の方に習った

55不要不急の名無しさん2020/07/14(火) 16:55:12.32ID:K7ISDv8k0

SQLインジェクション対策しないとか今どきあるのかよｗｗｗｗ

56不要不急の名無しさん2020/07/14(火) 16:56:30.76ID:iUZ5Gji80

?使えばいいやつ？

57不要不急の名無しさん2020/07/14(火) 16:57:16.20ID:dnJAIK0s0

GIジョーの本で習ったわ懐かしーな

58不要不急の名無しさん2020/07/14(火) 16:59:37.39ID:3BKJSA090

>>2
それ絶対やっちゃいけない方法

59不要不急の名無しさん2020/07/14(火) 17:07:11.08ID:2q1jq+5Z0

SQLインジェクション未対策もお粗末だけどリスキーな個人情報を平文で格納しとったんか

60不要不急の名無しさん2020/07/14(火) 17:15:15.81ID:km80LWZ10

>>58
いや対策はエスケープ処理だぞ

61不要不急の名無しさん2020/07/14(火) 17:15:34.75ID:km80LWZ10

>>56
そう
bindね

62不要不急の名無しさん2020/07/14(火) 17:15:57.12ID:reEBfB9r0

あんたバカあ？？？？

63不要不急の名無しさん2020/07/14(火) 17:16:42.97ID:sm4MELQp0

で、ATフィールドは全開やったん？

64不要不急の名無しさん2020/07/14(火) 17:16:52.21ID:qRKKgUc50

古典的手法にやられるって…

65不要不急の名無しさん2020/07/14(火) 17:23:52.52ID:XpryIFHw0

gifHubの仕業か

66不要不急の名無しさん2020/07/14(火) 17:29:16.02ID:UCZuN1ea0

ORM使わないSQL直書きの古いシステムだったのだろうか？

67不要不急の名無しさん2020/07/14(火) 17:30:11.37ID:I9NLC55o0

アスカって飛鳥ってかくが単に枕詞アスカそのものは朝鮮語
明日香村ですら公式に言ってるんでネトウヨは歴史修正頑張れ

68不要不急の名無しさん2020/07/14(火) 17:31:02.96ID:2L3eqI4b0

>>2
サニタイジングな

【脆弱性】人材派遣のアスカ SQLインジェクション攻撃され個人情報流出 アスカ「SQLi対策の確認したことなかった」 [雷★]

【脆弱性】人材派遣のアスカ　SQLインジェクション攻撃され個人情報流出　アスカ「SQLi対策の確認したことなかった」 [雷★]